OWASP Dependency Check を使用して、Javaプロジェクトの依存関係の脆弱性を特定します。フラグが立てられているのは CVE-2012-5786 です。 =。そのCVEによると、問題は「Apache CXF、おそらく2.6.0」にあります。
2017年4月にリリースされたApacheCXF 3.1.11を使用しています。影響を受けるバージョンについてCVEがあいまいであるため、CXFのバージョンが影響を受けるかどうかはわかりません。 5歳からではないのではないかと思いますが、よくわかりません。
CVE-2012-5786はApacheCXF 3.1.11(およびそれ以降)に影響しますか?
Cve(shmat_ccs12.pdf)にリンクされているエクスプロイトの記事から私が理解していること:cxfは、証明書をチェックしないように構成されている場合(disableCNCheck = true)、中間者攻撃に対して脆弱です。デフォルトでは、証明書をチェックするように構成されているため、disableCNCheckを使用しない場合(例として自己署名証明書を使用する場合)、このcveに関して安全です。